Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

© 2013 OneConsult GmbH www.oneconsult.com

Griffige Information Security Policies

Yves Kraft – Team Leader Consulting & Training – OneConsult GmbH

Hacking Day 2013 – Security Lifecycle

Balance zwischen Theorie und Praxis

16. Mai 2013

/de/



2

Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick

Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung

Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ

/de/


Agenda

→ Vorstellung

→ Theorie

→ Balance in der Praxis

→ Zertifizierung


3

/de/


Über mich

→ Yves Kraft → Team Leader Consulting & Training → Theorie

◦ Informatiker ◦ Studium BSc FH CS (Vertiefung IT-Security) ◦ OPST, OPSA, OSSTMM Trainer

→ Praxis ◦ 11 Jahre Berufserfahrung , davon 4 Jahre in IT-Security ◦ System Engineer & System Administrator ◦ Technische Security Audits ◦ Konzeptionelles Consulting ◦ Security Officer ◦ Training & Coaching

4

Vorstellung

/de/


Dienstleistungen

→ Security Audits 60%

◦ Security Scan ◦ Penetration Test ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering ◦ Conceptual Security Audit

→ Consulting 20%

◦ Strategy & Organisation ◦ Policies & Guidelines ◦ Processes & Documentation ◦ Business Continuity & Disaster

Recovery ◦ Engineering & Project Management

→ Incident Response 10%

◦ Emergency Response

◦ Computer Forensics

→ Training & Coaching 10%

◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning ◦ Secure Web Development ◦ Coaching

→ Security as a Service

Vorstellung

5

/de/


Agenda

→ Vorstellung

→ Theorie


→ Zertifizierung


6

/de/


Übersicht Information Security

Einleitung

7

Infrastruktur

Human Resources

Netzwerk Segmente

Prozesse

Compliance

Information Security Organisation

Daten

Dokumente

/de/


Übersicht Information Security

Einleitung

8

IT-

Sicherheits-

strategie

Informations-/IT-Sicherheitsrichtlinie

Spezifische Security Policies, Verträge, SLAs, Merkzettel, Weisungen, Checklisten, Guidelines,

etc.

/de/


IT-Sicherheitsstrategie

→ Generelles Dokument zur Planung, Gewährleistung und ständigen Aufrechterhaltung der IT-Sicherheit

→ Festlegungen werden zumeist zu IT-Sicherheits-Policies/IT-Sicherheitsleitlinien

→ IT-Sicherheitsstrategien beinhalten u.a. ◦ Angaben den lokalen Zielen der IT-Sicherheit

◦ Zugrunde liegenden Sicherheitsstandards (z.B. IT-Grundschutz, ISO 27001)

◦ Festlegung von Sicherheitsdomänen

◦ organisatorischer Aufbau des Sicherheitsmanagements

◦ Berichtspflichten und Kontrollinstanzen

◦ Qualitätssicherung

Einleitung

9

/de/


IT-Sicherheitsrichtlinie

→ Verfolgt die IT-Sicherheitsstrategie

→ Ziele und Massnahmen zur Umsetzung der Informationssicherheit ◦ Stellenwert der Informationssicherheit

◦ Benennung der Sicherheitsziele

◦ Beschreibung der Organisationsstruktur

◦ Auf Leitungsebene durchsetzen und Verstösse sanktionieren

◦ Periodische Überprüfung der Sicherheitsmassnahmen

◦ Erhalt und Förderung der Security Awareness durch Schulungs- und Sensibilisierungsmassnahmen

◦ Verantwortlichkeiten im Informationssicherheitsprozess

Einleitung

10

/de/


Policies, Checkliste, Guidelines

→ Spezifische Security Policies ◦ Verträge & SLAs

◦ Merkzettel

◦ Weisungen

◦ Checklisten

◦ Guidelines

→ Beispiele: Betriebshandbücher, Installationsanleitungen, Hardening Guides, Gebäudepläne

Einleitung

11

/de/


Normen und Standards

→ ISO/IEC 27000 Reihe ◦ ISO 27000 – Begriffe und Definitionen

◦ ISO 27001 – Anforderungen für Sicherheitsmechanismen

◦ ISO 27002 – Code of Practice

◦ ISO 27005 – Risk Management

→ BSI Standard 100-1/4 (eh. Grundschutzhandbuch)

→ Weitere ◦ COBIT

◦ SOX

◦ PCI-DSS

◦ …

Einleitung

12

/de/


Agenda

→ Vorstellung

→ Theorie


→ Zertifizierung


13

/de/


Was will ich erreichen?

→ Informationssicherheit dient dem Schutz ◦ Gefahren bzw. Bedrohungen

◦ Vermeidung von Schäden

◦ Minimierung von Risiken

→ Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen

Balance in der Praxis

14

/de/


Bedrohungen in der Praxis

→ Irrtum und Nachlässigkeit

→ Malware

→ Social Engineering

→ Hacking

→ Wirtschaftsspionage

→ Diebstahl von IT-Mitteln


15

/de/


Probleme in der Praxis…

→ Resignation, Fatalismus und Verdrängung

→ Kommunikationsprobleme

→ Sicherheit wird als rein technisches Problem mit technischen Lösungen gesehen

→ Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten

→ Ad-hoc Vorgehen (unter Zugzwang) bzw. falsche Methodik

→ Management: fehlendes Interesse, schlechtes Vorbild

→ Sicherheitskonzepte richten sich an Experten


16

/de/


Probleme im Zusammenhang mit Policies…

→ Policies sind nicht individualisiert

→ Policies sind nicht umsetzbar

→ Freigabe, Bekanntmachung und Zielgruppe werden vergessen

→ Policies werden nicht aktualisiert


17

/de/


…und die Konsequenzen

→ Konfusion im Notfall

→ lückenhafte Datensicherung

→ fehlende Klassifizierung von Informationen

→ gefährliche Internetnutzung

→ Disziplinlosigkeit


18

/de/


Implementation nach ISO 2700x


19

IT S

ecu

rity

O

rgan

isat

ion

IT R

isk

Man

age

me

nt

Co

ntr

ols

IT Security Policy

IT Security Resources and Services

Stra

tegi

sch

e Eb

en

e

Takt

isch

e

Ebe

ne

O

pe

rati

ve

Ebe

ne

→ IT Security Policy Anforderungen an ISMS

→ IT Security Organisation Organisationsstrukturen, Prozesse, Regelungen

→ IT Risk Management Ermittlung von Risiken von Komponenten und deren Auswirkung

→ Controls Sicherheitsmechanismen

→ IT Security Res. & Services Technologien, Anlagen, Anwendungen, Personal

/de/


Grundvoraussetzungen

→ Awareness: Geschäftsleitung anerkennt IT-Security als notwendiger Faktor

→ Commitment: Geschäftsleitung ◦ spricht die finanziellen und zeitlichen Ressourcen

◦ unterstützt das Projekt


20

/de/


Inhalt & Sprache von Richtlinien

→ Zielgruppenorientierung ◦ Zielgruppe(n) Geschäftsleitung, IT-Abteilung, Mitarbeiter und/oder weitere

Stakeholder/Interessenten

◦ Akademischer Schreibstil vs. möglichst nahe an der Umgangssprache

◦ Sprache: Deutsch oder Englisch

→ Aufbau/Dokumentenstruktur ◦ rein direktive Vorgaben vs. detaillierte Erläuterungen der Entscheide

◦ umfassendes Dokument vs. Hauptdokument mit Anhängen oder Beilagen

→ Umfang und Etappierung ◦ Kurzversion: ca. 2 - 5 Seiten

◦ Langversion: ca. 15 - 40 Seiten

◦ Erstellung aller Dokumente in einem Zug vs. etappierte Erstellung (z.B. Kurzversion und danach Voll-/Langversion)


21

/de/


Agenda

→ Vorstellung

→ Theorie


→ Zertifizierung


22

/de/


Anerkannte Standards

→ BS 25999-2:2007

→ BSI Standard 100-1/4 (eh. Grundschutzhandbuch)

→ ISO/IEC 27001:2005 Zertifizierung von Informationssicherheits-Managementsystemen (ISMS)

Zertifizierung

23

/de/


Motivation für eine Zertifizierung

→ Differenzierung im Wettbewerb ◦ Managementkompetenz im Bereich Informationssicherheit

◦ Zuverlässigkeit als Partner

◦ Sich von der Konkurrenz abheben (Zertifikat ist kein Massenprodukt)

→ Interner Nutzen einer Zertifizierung ◦ Mögliche Verluste Infolge von Sicherheitsschwachstellen minimieren

→ Vorschriften ◦ Derzeit keine gesetzlichen Anforderungen betreffend zwingender

Zertifizierung

◦ aber: Sorgfaltspflicht, Datenschutzgesetz, etc.

Zertifizierung

24

/de/


Der Weg zur Zertifizierung (ISO/IEC 27001)

→ Stufe 1: Dokumentenprüfung (teils vor Ort)

→ Stufe 2: Audit vor Ort

→ Auditbericht und Zertifikat mit 3-jähriger Gültigkeit

→ Überwachungsaudits nach dem ersten und zweiten Jahr

→ Re-Zertifizierung nach dem dritten Jahr

→ Überwachungsaudits nach dem vierten und fünften Jahr

→ …

Zertifizierung

25

/de/


Tipps betreffend Zertifizierung

→ Normverständnis schaffen

→ Verfügbarkeit aller notwendigen Dokumente sicherstellen

→ Enge Zusammenarbeit mit der Zertifizierungsstelle

→ «Klassische» Prüfpunkte beachten und so Fehlerquellen beseitigen

→ Nachbesserungsfrist sinnvoll nutzen und Termine einhalten

→ Nach dem Audit ist vor dem Audit

Zertifizierung

26

/de/



27

Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick

Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung

Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ

/de/


«Sicherheit ist kein Produkt, sondern ein Prozess» Bruce Schneier


28

/de/



Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland

Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 [email protected]

Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich

Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 [email protected]

Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz

Tel +41 43 377 22 22 Fax +41 43 377 22 77 [email protected]

Danke für Ihre Aufmerksamkeit! Fragen?

Yves Kraft BSc FH CS, OPST&OPSA Team Leader Consulting & Training [email protected] +41 79 308 15 15

/de/

/de/

mailto:[email protected]



Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

Documents

Transcript of Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis